Апр
19

Adobe Creates Web Flaw Reporting Program, субсидия Sans

Производитель ПО додаёт инструкции по раскрытию для неточностей, обнаруженных его веб-особенностях, но маркировка компании тренд — не предлагает субсидию.«Охотники за неточностью, которые идентифицируют уязвимость веб-приложения в онлайн-сервисе Adobe либо веб-собственности, могут сейчас тайно раскрыть проблему Adobe при увеличении их счета репутации HackerOne», сообщил он.Любая компания подобающа решить для себя, создать ли программу субсидии, но довольно много компаний сперва принимают инфраструктуру для обработки отчетности неточности и более позднего перемещения к платежу за уязвимости, сообщила она.

Производитель ПО Adobe запустил программу раскрытия уязвимости веб-приложения, пригласив исследователей в области безопасности представить неточности, отысканные в ее веб-особенностях, но отказался выплачивать вознаграждения за неточности высокой серьезности.До сих пор Adobe сопротивлялся требованию компаний ПО для платежа за неточности, отказываясь предоставлять вознаграждение сторонним исследователям для уязвимостей, отысканных либо в его продуктах либо в его веб-сервисах. Вместо этого фокусы компании на ее жизненном цикле разработки ПО и сторонних оценках, представитель компании заявил в ответ на запросы от eWEEK.фирмы и Программное обеспечение онлайн-сервиса все более и более принимают программы раскрытия уязвимости, почти всегда предлагая исследователям, которые находят и раскрывают неточности некое вознаграждение.

Разработчики ПО, такие как проект Хрома Гугл, Mozilla, а также Микрософт предлагают большие наличные субсидии для нахождения уязвимостей в их продуктах. Еще многие включающий веб-сервисы Facebook, Etsy, Coinbase и Blogger, для именования немногих — также создали программы субсидии неточности, согласно данным BugCrowd, управления уязвимостью и обслуживания оценки.

платформы управления и Отчётность уязвимости, такие как HackerOne и BugCrowd, употребляются, чтобы обработать отчеты об неточностях, сортировать проблемы и прогресс пути. Такие услуги являются шагом от компаний, которые обрабатывают уязвимости через своевременную совокупность, основанную на «нечистом совместно применяемом электронной таблице» и электронном ящике, сообщила Кейти Муссурис, основной политический служащий для HackerOne.

«Мы проводим широкое тестирование, инвестируя большие ресурсы внутренне и через консультационные обязательства с научным сообществом безопасности», заявил докладчик. «Мы находим огромную цена, когда исследователи в состоянии совершить полную белую оценку поля с прямым доступом к материалам и внутренним инженерам продукта».Программа, о которой объявляют четыре марта, дает инструкции исследователей для тестирования особенностей Adobe и выделяет восемь категорий не сильный мест веб-приложения, на которых охотники за неточностью должны сфокусироваться, такие как сценарии перекрестного сайта, подделка запроса перекрестного сайта в привилегированном контексте и инжекционные уязвимости.

Единственное вознаграждение за исследователей, но, есть свойством повысить их счет доверия на обслуживании управления уязвимости HackerOne, Питере Окерсе, менеджере программы обеспечения безопасности Команды реагирования на инциденты безопасности продуктов (PSIRT) Adobe, заявленной.«С того времени нет таковой вещи как одна адаптация размера вся программа субсидии, организациям характерно запуститься с миграции их [уязвимость] координация» сперва, сообщила она. «Делая так, они разрешают хакерам создать собственные очки репутации, что со своей стороны разрешает ведущим исследователям приобретать необыкновенные приглашения принимать участие в программах субсидии, не открытых для широкой публики».


4 Комментов

Оставить коммент